Nachdem der EuGH im Sommer das Privacy-Shield Abkommen für unwirksam erklärt hat, bestehen erhebliche Unsicherheiten, wie personenbezogene Daten rechtskonform in die USA übermittelt werden können. Zwar kann die Datenübermittlung weiterhin auf die sogenannten „Standardvertragsklauseln“ (SCC) gestützt werden. Diese von der EU-Kommission vorgegebenen Vertragsklauseln müssen aus Sicht des EuGH allerdings von den Anwendern individuell um zusätzliche Maßnahmen und Garantien ergänzt werden, um die exportierten Daten insbesondere vor Zugriffen durch nationale Behörden wie der CIA zu schützen.

Welche Maßnahmen konkret vereinbart werden müssen, ist weiterhin unklar. Hier sind sich sogar die Aufsichtsbehörden der Länder uneinig. Regelmäßig wird jedenfalls eine zusätzliche Ende-zu-Ende Verschlüsselung der exportierten Daten empfohlen. Um wieder Rechtssicherheit für die Übermittlung von personenbezogenen Daten in die USA zu schaffen, hat die Kommission am 12. November 2020 einen Entwurf für neue SCC vorgelegt.

Neue Standardvertragsklauseln – Problem gelöst?

Der von der Kommission veröffentlichte Entwurf besteht aus vier Modulen, die jeweils unterschiedliche Übermittlungskonstellationen regeln:

  • Modul 1: Übermittlung zwischen zwei (oder mehr) Verantwortlichen

  • Modul 2: Übermittlung von einem Verantwortlichem zu einem (oder mehr) Auftragsverarbeitern

  • Modul 3: Übermittlung von einem Auftragsverarbeiter zu einem (oder mehr) Auftragsverarbeitern

  • Modul 4: Übermittlung von Auftragsverarbeiter zu einem (oder mehr) Verantwortlichen
Der Großteil der Kritikpunkte, aufgrund derer der EuGH das Privacy-Shield Abkommen aufgehoben hat, wurden mit dem SCC-Entwurf beseitigt. Dem Datenimporteur im außereuropäischen Drittstaat sollen faktisch dieselben Pflichten auferlegt werden, die nach der DSGVO für den EU-Exporteur gelten.

Kritisiert wird an dem Entwurf jedoch, dass ein zentrales Problem der Datenübermittlung in die USA nicht zufriedenstellend gelöst werde. Nach dem aktuellen Entwurf könne der Zugriff von US-Behörden auf die übermittelten Daten nicht verhindert werden. Denn der Importeur muss lediglich garantieren, dass ihn keine Gesetze im Empfängerstaat daran hindern, die Pflichten der SCC zu erfüllen und er insbesondere keine Daten an Behörden offenlegen muss. Sollte er dem nicht nachkommen können, so ist der Datenexporteur darüber zu informieren. Vor einem tatsächlichen Zugriff seitens der Behörden auf die exportierten Daten schützt diese Garantie damit nicht.

Ausblick

Nach Monaten der Unsicherheit ist der Entwurf der Kommission ein erster und wichtiger Schritt in Richtung Rechtssicherheit. Der Vorschlag überzeugt und setzt die Kritikpunkte des EuGH weit überwiegend um. Inwieweit der Entwurf als Rechtsgrundlage für die Datenübermittlung in die USA jedoch tatsächlich vor dem Zugriff durch US-Behörden schützt, wird sich im Praxistest zeigen. Dann wird sich auch zeigen, ob sich der EuGH deswegen zum dritten Mal mit der Drittlandübermittlung befassen muss.